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Prufungsantrag gem. § 44 PatG ist gestellt 

@ Verfahren und Anordnung zur Erhohung der Manipulationssicherheit von kritischen Daten 

(§) Ein Verfahren zur Erhdhung der Manipulationssicherheit 
von kritischen Registerdaten umfafit die Schritte: 
• Laden elner Zahl Oder eines Zeigers, welch er einem 
Codewort zugeprdnet ist, in einen ersten nichtfluchtigen 
Speicher 20, 

- Laden eines Codewortes in zweite die Postregisterdaten 
enthaltenden nichtfluchtigen Speicher (NVM 5a, 5b), wobei 
das Codewort dem ietzten Betriebszustand der Frakterma- 
schine zugeordnet ist, d. h. das dem Ergebnis der Herstel- 
lung oder einer Nachladung der Frankiermaschine bzw. vor 
dem Ausschalten bzw. vor Spannungsausfall oder vor einer 
Stillstandszeit (Stand by) bzw. vor Programmunterbrechung 
entsprechend ausgewahlt worden ist, 

- Gultigkeitsprufung des Codewortes mindestens zum Zeit- 
punkt des Einschaltens der Frankiermaschine und 

f - Ersetzan des alten Codewortes durch ein vorbestimmtes 
neues Codewort, wenn der Prozessor, nach Gultigkeitspru- 
fung mit Bezug 8uf das in seinem internen Prozessorspal- 
cher (NVM 6c) aus einer Liste mit gespeicherten Code wor- 
ts rn entsprechend der Zahl bzw. der Zeigerstellung ausge- 
wahlte Codewort, die Gultigkeit des alten Codewortes 
erkennt oder 

- Biockierung der Frankiermaschine nach dem Zeitpunkt des 
Einschaltens der Frankiermaschine, wenn der Prozessor 
nach Gultigkeitsprufung mit Bezug auf das ausgewahlte in 
vorgenannter Uste gespeicherte Codewort die Gultigkeit des 
alten Codewortes aberkennt. 



NVM 5a 


CODE V 











NVM 5b 


CODS V 









RAM -►■ 



PIXEL 
SP. 
7 



a,b,c 



A 

I/O 



22 
WAAGB 



3 

DIS- 
PLAY 



23 
MODEM 



2 

KEY- 
BOARD 



14 




1 






PRINT- 


D5 




HEAD 




15 






DR 





Die folgendon Angaben slnd den vom Anmelder eingereichten Unterlagen ©ntnommen 

BUNDESDRUCKEREI 01.97 602 071/443 



20/25 



DE 195 34 529 Al 

1 2 

Beschreibung Bus zwischen den Postwertspeichern und der Sicher- 

heitslogik vorgenommen werden. Ein Nachteil ist hier, 

Die Erfindung betrifft ein Verfahren und Anordnung daB als einziger Schutz nur das Sicherheitsgehause des 

zur Erhdhung der Manipulationssicherheit von kriti- Sicherheitsmoduls vorgesehen ist Nachteilig ist auch 

schen Daten, welche in informationsverarbeitenden Ein- 5 die hohe Anzahl der Leitungen der Meter/Base-Verbin- 

richtungen vor einer Manipulation geschutzt werden dung an der Schnittstelle zur Base und daB eine teure 

miissen, insbesondere von icritischen Registerdaten in Hochgeschwindigkeitsschnittstelle erforderlich ist 

elektronischen Frankiermaschinen oder in einer ande- Eine weitere Manipulationsmdglichkeit besteht wa*h- 

ren elektronischen Einrichtung, in welcher sicherheits- rend der Dateneingabe beim Nachladen der Frankier- 

relevante Daten gehandelt werden bzw. in der eine Ab- 10 maschine mit einem Guthaben. In ublicher Weise wird 

rechnung von geldwerten Daten vorgenommen wird. von einer Datenzentrale bzw. von einem Speicher eines 

Frankiermaschinen sind, mit mindestens einem Einga- Obertragungsmittels, vorzugsweise einer Chipkarte, ein 

bemittel, einem Steuermodul und einem Druckermodul Guthaben geladen. Davon werden die durch die Fran- 

ausgerustet In einem Speichermittel werden nichtfiuch- kiermaschine verbrauchten Portobetrage abgebucht 

tig Daten gespeichert, welche zum Betrieb der Fran- 15 Zur Sicherheit gegen betrugerische Manipulationen 

kiermaschine erforderlich sind sowie Daten, welche ist bereits weiterhin aus der DE 38 23 719 bekannt, ein 

Geldmitteln entsprechen. representatives Zeichenmuster ab einem bestimmten 

Die Frankiermaschinentypen unterscheiden sich in Datum auszudrucken. Bei der Priifung der Post wird im 

Form und Ausstattung entsprechend des zu bearbeiten- Postamt das Druckdatum und das Zeichen mit dem Mu- 

den Postaufkommens. Sollen aber verschiedene Typen 20 ster verglichen, das fur dieses Datum berechtigt ist Zum 

an Frankiermaschinen produziert werden dann miissen Drucken dient eine Berechtigungsvorrichtung, die eine 

eine Vielzahl an Schaltkreisen (ASIC's oder/und andere Speichervorrichtung zur Speicherung einer Anzahl Zei- 

Bauelemente) vorgesehen werden. Gerade die Vielzahl chenmuster- und Datumsdaten aufweist Die Daten, die 

an Bauelementen und Schaltkreisen bietet dann Ansatz- das representative Zeichenmuster einem definierten 

punkte fur eine Manipulation, wenn kein alternativer 25 Datum zuordnen, werden liber eine Fernwertvorgabe 

Aufwand getrieben oder ein Sicherheitsgehause einge- mittels einer externen Wahlvorrichtung dann aktuali- 

setztwird. siert, wenn die Anwender der Frankiermaschinen um 

Aus dem EP 465 236 A2 ist ein ASIC bekannt, wel- eine Rekreditierung nachsuchen. Die Sicherheit der Da- 
ches eine Schaltung zur Drucksteuerung zur Motor- ten beruht auf dem Prufen der Daten in der Datenzen- 
steuerung und zur Abrechnung umfaBt Die Schaltung 30 trale bevor ein Nachladen erfolgt und im Prufen der 
zur Drucksteuerung umfaBt einen Speicher fur feste Frankierabdrucke seitens der Postbehorde. Die Daten- 
und einen anderen fur variable Daten, welche mit den zentrale tragt somit zur Erhohung der Manipulationssi- 
festen Daten uberlagert werden. Ein Motorcontroller ist cherheit von kritischen Registerdaten bei. Dieses Si- 
fur ein Aktuieren eines Motorantriebes in Abhangigkeit cherheitssystem ist jedoch auf Festnetze beschrankt und 
von der Poststuckzufiihrung vorgesehen. Ein Vorteil ist 35 fur tragbare Frankiermaschinen, die von einem Ort zu 
zweifellos die hohe Manipulationssicherheit aufgrund einem anderen Ort mitgefuhrt werden (mobiles Biiro) 
der Verwendung eines einzigen ASIC, d. h. resultierend nicht anwendbar. Eine Selbstpriifung seitens der Fran- 
allein bereits aus der eingeschrankten Anzahl an An- kiermaschine auf Manipulation ist nicht vorgesehen. 
satzpunkten fur eine Manipulation. Ein Nachteil der Einer Portogebuhrentabelle ist die fur das Poststuck 
Verwendung eines einzigen ASICs ist die schlechte Ver- 40 erforderliche Portogebuhr entnehmbar. Der Portorech- 
wendbarkeit fur unterschiedliche Frankiermaschinen, ner, welcher aus dem Gewicht des Poststflckes den gul- 
welche einen unterschiedlichen Drucker und Steuermo- tigen Portobetrag bestimmt, ist gewShnlich bereits in 
dul entsprechend eines realisierten Frankiermaschinen- der an die Frankiermaschine angeschlossenen Waage 
system bzw. PoststraBe aufweisen. integriert. Jedoch wurden auch schon Ldsungen mit ei- 

Aus der US 4 858 138 ist ein modulares System fur 45 nem in die Frankiermaschine integrierten Portorechner 

eine Frankiermaschine mit Meter/Base-Trennung be- vorgeschlagen. 

kannt wobei ein Sicherheitsmodul (Meter) mit einem Beispielsweise weist eine aus der DE 42 13 278 Al be- 

Drucksteuermodul (Base) gekoppelt ist. Das Sicher- kannte transportierbare Frankiermaschine Speicher- 

heitsmodul kann Kreditkartenform aufweisen. Als elek- mittel und mit diesen in Verbindung stehende Emp- 

trische Verbindungseinrichtung zum Drucksteuermodul 50 fangsmittel fur uber ein Obertragungsmittel iibertrag- 

dient hierbei ein als parallele CPU-Schnittstelle ausge- bare Daten auf. Das Speichermittel der Frankiermaschi- 

bildeter Hochgeschwindigkeitskommunikationsbus. ne weist aktualisierbare Abschnitte fur an bestimmte 

Der Drucksteuermodul weist einen Hochgeschwindig- Bedingungen geknGpfte Tabellen auf, beispielsweise fur 

keitsdrucker auf. Von der Tastatur des Drucksteuermo- mindestens eine aktuelle Portogebuhrentabelle, anhand 
duls eingegebene Portobetrag wird zum Sicherheitsmo- 55 derer die jeweilige Portogebuhr ermittelt wird. Die 

dul iibertragen. Der Sicherheitsmodul liefert eine digita- Frankiermaschine weist im Steuermodul erste Mittel 

le Darstellung des f esten Teils des Postwertzeichens und auf, die bei Inbetriebnahme der Frankiermaschine min- 

eine verschlusselte Gultigkeitsnummer. Die Gultigkeits- destens eine Portogebuhrentabelle fur die Frankierma- 

nummer umfaBt den Portobetrag und ggf. weitere Infor- schine aus dem Speicher des Obertragungsmittels uber 
mationen, wie die Frankiermaschinenseriennummer eo die Empfangsmittel in einen vorbestimmten Speicher- 

und das Datum. Die verschlusselte Gultigkeitsnummer raum des Speichermittels laden. Sie enthalt zweite Mit- 

ist geeignet, um ein illegales Drucken eines Geldbetra- tel im Steuermodul, die mittels der uber dritte Mittel 

ges, der nicht berechnet wurde, festzusteilen. Die Fal- eingegebenen Bedingungen anhand des bereits eingege- 

schungssicherheit beruht auf einer in einer Sicherheits- benen Absendelandes bzw. -ortes und des Datums die 
logik vorgenommenen Verschlusselung einer Giiltig- 65 aktuelle in Kraft befindliche Portogebuhrentabelle aus- 

keitsnummer, die uber eine CPU-Schnittstelle ubertra- wahlen, um diese zu laden. Diese ersten und zweiten 

gen wird. Diese Losung bringt aber keinen Vorteil bei Mittel sind hardware- und/oder softwaremaBig als ein 

Manipulationen, welche im Sicherheitsmodul bzw. am fest- oder freiprogrammierbarer Logikmodul bzw. Pro- 
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gramm einer Mikroprozessorsteuerung ausgebildet und 
bewirken bei jedem Einschalten eine Verbindungsauf- 
nahme zum externen Speicher. 

Solche aktualisierbaren Abschnitte des Speichermit- 
tels sind ebenfalls fiir andere Informationen und/oder 
Zusatzinformationen vorgesehen. Insbesondere kann 
die Sicherheit vor betriigerischen Manipulationen da- 
durch erhSht werden, daB bei der Aktualisierung eine 
dem Aktualisierungsdatum zugeordnete Anzahl von 
Funktionen in die Frankiermaschine ladbar sind und die 
weiteren zu ladenden auslosbaren Funktionen vielfaltig 
und nicht wahlbar vorgegeben sind Zur Sicherheit ge- 
gen betrugerische Manipulationen kann von der natio- 
nalen Postbehdrde, zu der der jeweilige Absendeort ge- 
hort, ein nur von der jeweiligen nationalen Postbehorde 
maschinenlesbarer Ausdruck vorgegeben sein. Dieser 
Ausdruck kann beispielsweise die Transaktionsnummer 
filr eine BerechtigungsprGfung in Strichcodedarstellung 
sein oder ein anderes vereinbartes Zeichen, welches un- 
ter Verwendung des gleichen oder weiteren Druckers 
an einer definierten Stelle auf dem Postgut abgedruckt 
wird. 

Solche SicherheitsmaBnahmen sind geeignet den Ein- 
satz eines Farbkopierers zur unerlaubten Vervielfalti- 
gung eines Frankierabdruckes zu vereiteln. Sie konnen 
jedoch nicht die innere Manipuiationssicherheit der Da- 
ten in der Frankiermaschine erhohen. 

Damit nicht die Speicherinhalte geklont wiederver- 
wertet werden, muBte aber die Abrechnungseinheit 
wieder mit einem Sicherheitsgehause ausgerUstet wer- 
den. Andererseits ist dann aber dadurch weiterhin der 
Austausch def ekter Bauelemente erschwert 

In der EP560 714A2 sind die Montageeinheiten 
durch ein Sicherheitsgehause gekapselt Zur falschungs- 
sicheren Obertragung von Abrechnungsdaten von ei- 
nem Speicher in einer defekten Montageeinheit auf den 
Speicher einer in die Frankiermaschine neu eingesetz- 
ten Montageeinheit wird jede Montageeinheit mit zwei 
Steckereinheiten ausgeriistet Zunachst wird der Daten- 
fluB durch eine besondere Obertragungsleitung einer 
ersten Steckereinheit geschlauft, wobei aber an der glei- 
chen ersten Steckereinheit der alten Montageeinheit die 
Schlaufung entfernt und der normale DatenfluB unter- 
brochen und umgeleitet ist Vom Speicher der alten 
Montageeinheit wird iiber die letztgenannte Steche- 
reinheit und mittels einer zweiten Steckereinheit der 
neuen Montageeinheit der DatenfluB auf die neue Mon- 
tageeinheit umgeleitet Es sind mechanische Verriege- 
lungsglieder vorgesehen, welche in Wirkverbindung mit 
einem eine elektronische Erkennungsmarke (Flag) set- 
zenden Schalters stehen, welcher beim Herausnehmen 
der defekten Montageeinheit betatigt wird. Nach dem 
Obertragen der Daten auf die neue Montageeinheit 
wird ein zweites unlBschbares Flag gesetzt, so daB eine 
zweite Datenubertragung unmSglich gemacht ist. Die 
Sicherheit beruht im wesentlichen auf der Kapselung 
von CPU und nichtfluchtigem Speicher auf der Monta- 
geeinheit und dem vorgenannten Schalter zum Setzen 
der Flags. Bei Kenntnis der Lage bzw. Anordnung des 
Schalters kann ein Eindringen und eine Manipulation in 
Falschungsabsicht aber nicht verhindert werden. 

Aus der DE 41 29 302 Al ist die Verwendung eines 
Sensors bekannt, welcher beim Offnen des Frankierma- 
schinengehauses die Postregister ldscht Jedoch kann 
damit nicht verhindert werden, daB neue Daten in das 
Postregister von einem geschickten Manipulator einge- 
schrieben werden konnen, wenn das Gehause erst ein- 
mal geoffnet ist 
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Aus der EP 231 452 A2 ist das periodische Abfragen 
von Sensoren entsprechend einer Softwareroutine einer 
CPU bekannt Der Nachteil dieser Losung besteht in 
einer hohen Rechenzeit bedingt durch das periodische 

5 Abtasten der Sensoren. Dieser Nachteil wird noch ver- 
groBert, wenn es sich um eine besonders zeitkritische 
Abfrage handelt Um moglichst schnell auf eine Zu- 
standsandening reagieren zu konnen, muB die Abfrage- 
frequenz hoch gewahlt werden. Somit verbringt der Mi- 

io kroprozessor einen groBen Anteil seiner Rechenzeit mit 
der Abfrage. AuBerdem kann nicht die Manipulation 
einer ausgeschalteten Maschine verhindert werden. 

Es wurde bereits in der DE 42 17 830 Al ein Verfah- 
ren zum Betreiben einer Datenverarbeitungsanlage mit 

15 einem ersten nichtfluchtigen Speicher, einem Zustandss- 
peicher und einem zweiten nichtfluchtigen Speicher 
vorgeschlagen. Eine Modulkennung ermSglicht die 
Fortsetzung des Programms und eine Zustandskennung 
ermdglicht die Bearbeitung und Fortsetzung des Pro- 

20 grammsabschnitts bei dem eine Programmunterbre- 
chung eintrat, d. h. ggf. die Korrektur fehlerhaft einge- 
schriebener Daten in einem NVM aufgrund redundant 
vorliegender Daten in dem anderen NVM. Diese Lo- 
sung kann aber nicht den Dateninhalt, auf Vorliegen 

25 einer Manipulation iiberpriifen. Beim Klonen von Spei- 
cherinhalten werden korrekte Daten auf externe Spei- 
cher iiberspielt Beim Ruckubertragen dieser Speicher- 
inhalte bzw. beim Einsatz dieser externen Speicher in 
die Frankiermaschine zu einem spSteren Zeitpunkt wird 

30 ein von der Frankiermaschine selbst nicht als fehlerhaft 
erkennbarer Zustand wiederhergestellt, der zu einem 
friiheren Zeitpunkt einmal korrekt war. 

Es ist bereits ein Verfahren zur Verbesserung der 
Sicherheit von Frankiermaschinen vorgeschlagen wor- 

35 den (DE 43 44 476 A2) indem die Frankiermaschine zwi- 
schen autorisierten und unautorisierten Eingriff bzw. 
Offnen ihres Gehauses unterscheiden kann. Das Verfah- 
ren setzt aber voraus, daB die Frankiermaschine standig 
mit Energie fUr die Selbstpriifung versorgt wird In die- 

40 sem Fall konnen keine sicherheitsrelevanten Daten aus 
der Frankiermaschine unerlaubt herausgeladen, abge- 
nommen oder eingespeist werden, ohne daB dies im 
Rahmen der Selbstpriifung bemerkt wiirde. Dennoch 
sind zusatzliche Gehause, Siegel und/oder weitere Si- 

45 cherheitsmaBnahmen erforderlich zum Schutz der aus- 
geschalteten Maschine. 

Vielfach wird die Forderung erhoben, daB fur Repa- 
raturzwecke die Speicherbausteine leicht austauschbar 
sind, also weder gekapselt noch fest eingeldtet sondern 

so gesockelt werden. Nun ware es damit aber nicht m6g- 
lich, die tragbaren, d. h. die nicht fest uber ein Telefon- 
netz installierten Frankiermaschinen im ausgeschalte- 
ten Zustand gegeniiber betriigerischen Manipulationen 
abzusichern. Im Interesse der Manipuiationssicherheit 

55 von kritischen Registerdaten muB bisher auf Verbesse- 
rungen beim Service fiir die Maschine verzichtet wer- 
den. 

Der Erfindung liegt die Aufgabe zugrunde, ein Ver- 
fahren zur Erhohung der Manipuiationssicherheit von 

60 kritischen Registerdaten zu entwickeln, welche die 
Nachteile des Standes dem Technik vermeidet und fur 
eine Vielzahl an Frankiermaschinenvarianten kosten- 
giinstig realisierbar ist, ohne dabei die Manipuiationssi- 
cherheit zu vermindern. 

es Eine weitere Aufgabe ist es, bei einer Anordnung zum 
Frankieren von Postgut, vorzugsweise einer tragbaren 
ortsunabhangig betreibbaren Frankiermaschine der 
eingangs genannten Gattung eine Sicherheit gegen be- 
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trtigerische Manipulationen jeder Art und ein Frankie- se die Seriennummer der Frankiermaschine umfassen 

ren nach gultigen Posttarifen in Abhangigkeit von dem oder kann ein Teil einer anderen Nummer seia AuBer- 

eingebbaren Gewicht und Format des Postgutes zu ge- dem werden die Registerspeicherplatze mit Anfangs- 

wahrleisten. Auch bei ausgeschalteter Frankiermaschi- werten vom Herstellerwerk vorbesetzt 

ne und ohne Stromversorgung soil die frankiermaschi- s Die erfindungsgemaBe Losung gestattet festzustellen, 

neninterne Sicherheitsschaltung fur Postregisterdaten das die nichtfluchtigen Speicher (NV-RAMs, E 2 PROMs) 

und andere sicherheitsrelevante Daten wirksam sein. ausgewechselt und geklont wurden, urn spater mit den 

Die Aufgabe wird mit den Merkmalen der Anspruche geklonten oder ausgewechselten NV-RAMs bzw. 

1, 10, 15 bzw. 16 geldst E 2 PROMs die Frankiermaschine FM zu betreiben. Die 

Die Erfindung geht davon aus, daB ein Duplizieren io Erfindung geht von einem OTP-Prozessor mit einem 

bzw. Klonen des zu schutzenden NVMs nicht verhindert internen OPT- ROM und internen OTP-RAM aus. Im 

werden braucht, sondern auch ein Duplikat des Spei- internen OPT- ROM ist eine Liste von Codewortern ge- 

cherinhalts, welches gegen den Speicherinhalt des Orgi- speichert, wobei jedes Codewort zeitweise und mog- 

nals ausgetauscht wird, weiterverwendet werden kann. lichst nur einmal aktiv ist Das Codewort wird unabhan- 

Im Reparaturfall wird oft ein Kopieren und Rucktausch 15 gig vom Speicherinhalt der NV-RAMs aus der Tabelle 

der Speicherinhalte erforderlich, wobei allerdings vor- — die im von auBen nicht zuganglichen internen ROM- 

ausgesetzt wird, daB zwischenzeitlich keine gultigen Bereich des OTP gespeichert vorliegt — ausgewahlt. 

Frankierungen vorgenommen werden. Das neue Codewort wird mindestens beim Einschal- 

ErfindungsgemaB wird ein interner Prozessorspei- ten der Frankiermaschine der internen OTP-Tabelle 

cher verwendet, um ein Codewort nichtfluchtig zu spei- 20 entnommen und in den nichtfliichtigen Speichern (NV- 

chern. RAMs, E 2 PROMs) abgespeichert, wenn das alte in der 

Es ist vorgesehen, daB jedem nichtfliichtigem Spei- Liste das jeweilige Vorganger-Codewort war. 

cher oder Speicherbereich ein separates Codewort zu- Das Weiterschalten der Codewdrter wird iiber Flags 

geordnet wird, wobei mindestens eines der vorgenann- oder Zeiger, die in einem weiteren nichtfliichtigen Spei- 

ten separaten Codeworte in einem weiteren internen 25 cher gespeichert sind, realisiert Der Zeiger wird auBer- 

Speicher eines Prozessorsystems, einer Chipkarte und/ halb des zu jeweils uberpriifenden nichtfliichtigen Spei- 

oder einer Datenzentrale nichtfluchtig gespeichert wor- chers (NV-RAMs) in einem standig eingebauten und/ 

den ist und daB eine Bildung von neuen Codewortern ab oder wahrend der Laufzeit der Frankiermaschine mit 

einem vorbestimmten Zeitpunkt und danach eine Ein- ihrem Prozessorsystem in Kommunikationsverbindung 

speicherung der neuen Codewortern in nichtfliichtigen 30 stehenden und gegen Herausnahme w&hrend der Lauf- 

Speichern vorgenommen wird. - ' zeit der Frankiermaschine abgesicherten Sicherheits : 

Die erfindungsgemaBe Losung verhindert also nicht, Speicher gespeichert Zur Verhinderung von Manipula- 

daB die Postregister einschlieBlich Inhalt entfernt wer- tionen in Falschungsabsicht des vorgenannten standig 
den, um beliebig viele Kopien anzufertigen, sondern sie. ; eingebauten und gegen Herausnahme abgesicherten Si- . 

verhindert, daB mit Hilfe dieser Kopien Postguter fran- 35 cherheits-Speicher sollten diese Flag oder Zeiger MAC- 

kiert werden konnen, ohne daB eine adequate Abrech- • gesichert gespeichert sein. 

nung bei der Datenzentrale bzw. Bezahlung bei der Post ' Das Verfahren zur Erhohung der Manipulationssi- 

Vorgenommen wird. Eine Verkapselung der Bauelemeh- }• cherheit von kritischen Registerdaten umfaBt in elnef 

te fur die herausnehmbaren die Postregister speichern- weiteren Variante die folgenden Schritte: 

den NV-RAMs mit einem Sicherheitsgehause oder das 40 

Vorsehen anderer zusatzlicher MaBnahmen zum Schutz — Laden einer Zahl oder eines Zeigers, welcher 

vor Entnahme, wie Aufkleben auf die Leiterplatte, Ver- einem Codewortes zugeordnet ist, in einen ersten 

siegeln oder VergieBen mit Epoxidharz sind nun nicht nichtfliichtigen Speicher 20, 

erforderlich. — Laden eines Codewortes in zweite die Postregi- 

Die frankiermaschineninterne Sicherheitsschaltung 45 sterdaten enthaltenden nichtfliichtigen Speicher 

fur Postregisterdaten und andere sicherheitsrelevante (NVM 5a, 5b), wobei das Codewort dem letzten . 

Daten beruht auf nichtfliichtigen Speicherbausteinen. 1 Betriebszustand der Frankiermaschine zugeordnet 

Bei der ausgeschalteten Frankiermaschine bzw. bei aus- ist, d. h. das dem Ergebnis der Herstellung oder . 

gefallener Stromversorgung bleiben die Daten gespei- einer Nachladung der Frankiermaschine bzw. vor 

chert. Solche beispielswetse mit einer Lithiumbatterie 50 dem Ausschalten bzw. vor Spannungsausfall oder 

gestiitzten CMOS-SRAM's sind wahrend ihrer Lebens- vor einer Stillstandszeit (Stand by) bzw. vor Pro- 

dauer von ca. 10 Jahren beliebig oft beschreibbar. Die grammunterbrechung entsprechend ausgewahlt 

Batterie kann weder nachgeladen noch entladen wer- wordenist, 

den, ohne den Speicherbaustein zu zerstoren. Es wird — Giiitigkeitsprufung des Codewortes mindestens 
davon ausgegangen, daB im Leben einer Frankierma- 55 zum Zeitpunkt des Einschaltens der Frankierma- 
schine bis zu 150 000 Abdrucke moglich sind und daB die schine und 

Lithiumbatterie w&hrend dieser Zeit nicht ausgewech- — Ersetzen des alten Codewortes durch ein vorbe- 

selt werden muB. stimmtes neues Codewort, wenn der Prozessor, 

Ebenfalls konnen Speichermittel von anderer Spei- nach Giiitigkeitsprufung mit Bezug auf das in sei- 

chertechnologie durch die Sicherheitsschaltung ent- 60 nem internen Prozessorspeicher (NVM 6c) aus ei- 

sprechend vor MiBbrauch geschiitzt werden, wenn zu ner Liste mit gespeicherten Codeworten entspre- 

vorbestimmten Ereignissen sicherheitsrelevante Daten chend der Zahl bzw. der Zeigerstellung ausgewahl- 

in diese nichtfluchtigen Speicher gespeichert werden. te Codewort, die GQltigkeit des alten Codewortes 

Vom Herstellerwerk der Frankiermaschine wird in erkenntoder 

die nichtfluchtigen Speicherbausteine (Bat-NV-CMOS- 65 — Blockierung der Frankiermaschine nach dem 

SRAM's und E 2 PROM) ein Codewort eingespeichert, Zeitpunkt des Einschaltens der Frankiermaschine, 

welches einer vorbestimmten- Frankiermaschine zuge- wenn der Prozessor nach Giiitigkeitsprufung mit 

ordnet ist Das Codewort kann am Anfang beispielswei- Bezug auf das ausgewahlte in vorgenannter Liste 
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gespeicherte Codewort die Giiltigkeit des alten Co- 
dewortes aberkennt 

Das Programm fiir die Auswahl des jeweils neuen 
Codewortes ist im internen Programmspeicher (inter- 
nen OTP-ROM bzw. OTP-EPROM) gespeichert. Die 
Auswahl des neuen Codewortes ist vom vorhefigen 
und/oder vom Zustand der Frankiermaschine zu einem 
vorbestimmten Zeitpunkt abhangig. Jedem nichtfliichti- 
gem Speicher oder Speicherbereich, der geschutzt wer- 
den muB, kann ein separates Codewort zugeordnet wer- 
den. 

Es ist vorgesehen, daB in einem Schritt zur Bildung 
eines neuen veranderbaren ersten Codewortes auch die 
Bildung des neuen zweiten Codewortes nach einem 
identischen Algorithmus zur Bildung des neuen ersten 
Codewortes erfolgt, urn ein identisches neues zweites 
Codewort in die zu schutzenden nichtfliichtigen Spei- 
cher zu laden. 

Alternativ ist in einer weiteren Variante vorgesehen, 
daB in einem Schritt zur Bildung eines neuen verander- 
bares ersten Codewortes auch die Bildung des neuen 
zweiten Codewortes als kompiementarer Schatten zum 
neuen ersten Codewortes erfolgt, urn ein komplemen- 
tSres neues zweites Codewort in die zu schfltzenden 
nichtfliichtigen Speicher zu laden. 

Es ist in einer anderen Variante vorgesehen, daB in 
einem Schritt zur Bildung eines neuen veranderbares 
ersten Codewortes auch die Bildung des neuen zweiten 
Codewortes als zu dem veranderbaren neuen ersten 
Codewort identischen Codewort und als kompiemen- 
tarer Schatten zum neuen ersten Codewortes erfolgt, 
um mindestens ein neues zweites Codewort in die zu 
schutzenden nichtfliichtigen Speicher zu laden bder daB 
beim Schutz eines entsprechenden Speichers in minde- 
stens einem der Speicherbereiche auch mit dem kom- 
plementaren Schatten gearbeitet wird. 

Fiir eine Anordnung zur Erhohung der Manipula- 
tionssicherheit von kritischen Daten, insbesondere von 
Registerdaten in Frankiermaschinen mit einer Steuer- 
einrichtung und Speichern, ist vorgesehen, daB die 
Steuereinrichtung einen Mikroprozessor oder einen 
OTP-Prozessor (ONE TIME PROGRAMMABLE) auf- 
weist und im OTP sind neben einem Mikroprozessor 
CPU auch weitere Schaltungen und/oder Programme 
bzw. Daten im internen OTP-ROM bzw. im internen 
OTP-RAM in einem gemeinsamen Bauelementgehause 
untergebracht sind, welche ein erstes Sicherheitsmittel 
gegen unbefugte Manipulation bilden sowie daB ein ex- 
terner nichtflfichtiger Speicher NVM 20 ein zweites Si- 
cherheitsmittel gegen unbefugte Manipulation bildet 

Vorteilhafte Weiterbildungen der Erfindung sind in 
den Unteranspriichen gekennzeichnet bzw. werden 
nachstehend zusammen mit der Beschreibung der be- 
vorzugten Ausfuhrung der Erfindung anhand der Figu- 
ren naher dargestellt. Es zeigen: 

Fig. 1, Blockschaltbild einer Frankiermaschine mit er- 
findungsgemaB erh6hter Sicherheit, 

Fig. 2, Variante mit OTP-Prozessor, 

Fig. 3, Gesamtablaufplan fiir die Frankiermaschine, 

Fig. 4, Details des Ablauf plans nach Fig. 3, 

Fig. 5, Ablaufplan fiir den Frankiermodus, 

Fig. 6, Details des Ablaufplans nach Fig. 4, 

Fig. 7, FluBplan fur das erfindungsgem&Be Verfahren 
zur Erhdhung der Manipulationssicherheit, 

Fig. 8a bis c, Zeigerstellungen nach dem erfindungs- 
gemaBen Verfahren. 

Die Fig. 1 zeigt ein Blockschaltbild der erfindungsge- 



m&Ben Frankiermaschine mit einem Druckermodul 1 
fiir ein volleiektronisch erzeugtes Frankierbild, mit min- 
destens einem mehrere Betatigungselemente aufwei- 
senden Eingabemittel 2, einer Anzeigeeinheit 3, einem 
5 die Kommunikation mit einer Datenzentrale herstellen- 
den MODEM 23, welche fiber einen Ein/Ausgabe-Steu- 
ermodul 4 mit einer Steuereinrichtung 6 gekoppelt sind 
und mit mindestens einem nichtfliichtigen Speicher 5a 
bzw. 5b fiir die variablen und einen Speicher 10, 1 1 fur 

io die konstanten Teile des Frankierbildes. 

Ein Charakterspeicher 9 liefert die notigen Druckda- 
ten fur einen fliichtigen Arbeitsspeicher 7. Der fluchtige 
Arbeitsspeicher 7 umfaBt beispielsweise einen externen 
RAM in Verbindung mit einem im Prozessor angeord- 

15 neten internen RAM 6b. Die Steuereinrichtung 6 weist 
einen entsprechend ausgebildeten Mikroprozessor u.P 
auf und ist mit dem Ein/Ausgabe-Steuermodul 4, dem 
Charakterspeicher 9, dem fliichtigen Arbeitsspeicher 7, 
mit einem nichtfliichtigen Kostenstellenspeicher NVM 

20 5a und mit einem nichtfliichtigen Arbeitsspeicher NVM 
5b, mit einem anwendungsspezifischen Programmspei- 
cher ASP 10 (Klischee-EPROM), einem Programmspei- 
cher PSP 11 (Programm- EPROM), mit dem Motor einer 
Transport- bzw. Vorschubvorrichtung ggf. mit Streif en- 

25 auslfisung 12, einem Encoder (Codierscheibe) 13, einem 
Briefsensor 16 sowie mit einem Uhren/Datums-Bau- 
stein 8 verbunden. Ein entsprechendes Verfahren zum 
Steuern eines spaltenweisen Drucks eines Postwertzei- 
chenbildes ist beispielsweise in der EP 578 042 A2 oder 

30 in der EP 576 133 A2 ausffihrlicher beschrieben. 

Die — in der Fig. 2 naher dargestellte — Steuerein- 
richtung 6 weist einen Mikroprozessor oder einen OTP- 
Prozessor (ONE TIME PROGRAMMABLE) auf. Im 
OTP sind neben einem Mikroprozessor CPU 6a auch 

35 weitere Schaltungen in einem gemeinsamen Bauele- 
mentgehause untergebracht Diese weiteren Schaltun- 

, gen und/oder Programme bzw. Daten im internen OTP- 
ROM 6c bzw. im internen OTP-RAM 6b in dem gemein- 
samen Prozessorgehause bilden eine Sicherheitsschal- 

40 tung bzw. ein erstes Sicherheitsmittel gegen unbefugte 
Manipulation. 

Die iibrigen einzelnen Speicher kdnnen in mehreren 
physikalisch getrennten oder in gem&B der Fig. 2 ge- 
zeigten Weise in wenigen Bausteinen zusammengefaflt 

45 verwirklicht sein. Vorzugs weise sind die Festwertspei- 
cher CSP 9 und PSP 11 in einem EPROM und die nicht- 
fliichtigen Speicher NVM 5a und 5b in einem Postregi- 
sterspeicher zusammengefaflt Letzterer ist vorzugswei- 
se doppelt vorhanden und wird in seinen Speicherberei- 

so chen redundant mit Daten beschrieben. Ein Verfahren 
zum Speichern sicherheitsrelevanter Daten ist beispiels- 
weise in der EP 615 21 1 Al naher ausgefiihrt 

Ein externer nichtfluchtiger Speicher NVM 20 bildet 
ein zweites Sicherheitsmittel gegen unbefugte Manipu- 

55 lation. In der Fig. 1 wird ein Blockschaltbild der erfin- 
dungsgemaBen Frankiermaschine 1 mit einer Chipkar- 
ten-Schreib-Lese-Einheit 21 dargestellt Diese steht 
iiber einen BUS 11 mit einem Prozessor 6 direkt oder 
fiber Ein/Ausgangsmittel (I/O-Ports) 4 in Verbindung. 

60 Weiter ist ein — in der Fig. 1 nicht naher dargestellter 
- AnschluB eines MODEMS 23 uber den BUS 11 direkt 
oder fiber vorgenanntes Ein/Ausgangsmittel 4 vorgese- 
hen. Sowohl in der Datenzentrale als auch in einer Chip- 
karte, welche in die Chipkarten-Schreib-Lese-Einheit 21 

65 eingesteckt werden muB, schlieBen einen externen 
nichtfliichtigen Speicher ein, welcher als zweites Sicher- 
heitsmittel gegen unbefugte Manipulation, eingesetzt 
werden kann. 
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Der externe nichtfltichtige Speicher NVM 20 ist in 
der bevorzugten Variante — wie in der Fig. 1 gezeigt — 
ein Bestandteil des Prozessorsystems der Frankierma- 
schine und arbeitet mit dem Programmspeicher 6c (in- 
ternes EPROM oder ROM) und fluchtige Datenspei- 
cher RAM 6b zusammen. 

Durch die Moglichkeit Sicherungsbits zu setzen, (bei 
internen EPROM) bzw. wahrend der Herstellung eine 
Maskenprogrammierung (bei internen ROM) vorzu- 
nehmen, kann das Auslesen des internen Programnv 
Speichers von auBen verhindert werden. Die Siche- 
rungsbits werden durch Programmierung des internen 
EPROM wahrend der Herstellung der Frankiermaschi- 
ne im OTP-Prozessor gesetzt. Das Observieren solcher 
sicherheitsrelevanter Routinen, wie beispielsweise Ab- 
rechnungsroutinen, mit einem Emulator/Debugger wur- 
de ebenfalls zu einem veranderten Zeitablauf ftthren, 
was durch den OTP feststellbar ist. Dieser umfaBt auch 
eine Taktgeber/Zahler-Schaltung fur die Vorgabe von 
Zeitintervallen bzw. Taktzyklen beispielsweise fiir die 
Time-out-Generierung oder Druckersteuerung. Vorteil- 
haft wird die Taktgeber/Zahler-Schaltung fur eine Pro- 
grammlaufzeitiiberwachung eingesetzt, welche in der 
Anmeldung EP660 269A2 genauer beschrieben ist. 
Wenn eine bestimmte Zeit abgelaufen und das erwarte- 
te Ereignis nicht eingetreten ist, wird vom der Taktge- 
ber/Zahler-Schaltung ein Interrupt generiert, der dem 
Mikroprozessor den ergebnislosen Ablauf der Zeitspan- 
ne meidet, woraufhin der Mikroprozessor weitere MaB- 
nahmen veranlaBt Die Oberwachungsfunktion wird in 
vorgenannter Weise durch das vorgenannte erste Si- 
cherheitsmittel ubernommen, das Bestandteil des Pro- 
zessors (OTP) ist und die in Verbindung mit einer ent- 
sprechenden Software wahrend des Betriebes der Fran- 
kiermaschine wirksam wird. Bei einer vorteilhaften wei- 
teren Variante der Zeitkontrolle wird ein Code wort im 
externen NVM 5a, 5b oder 20 geldscht. Das kann durch 
Oberschreiben mit einem vorbestimmten anderen 
Wort, beispielsweise 0000 erfolgen. Der Vorteil liegt 
insbesondere darin, daB die Sicherheitsschaltung wah- 
rend des Betriebes auf eine Manipulation durch unbe- 
fugten Eingriff in die Frankiermaschine reagiert 

Die frankiermaschineninterne Sicherheitsschaltung 
fiir Postregisterdaten und andere sicherheitsrelevante 
Daten schutzt den Dateninhalt von nichtfluchtigen Spei- 
chern, beispielsweise von mit einer Lithiumbatterie ge- 
stiitzten CMOS-SRAM's, gegentiber einer Verwendung 
unerlaubt geklonter Kopien ohne Abrechnung. 

Vorgenannte Lithiumbatterie gestiitzten CMOS- 
SRAM's haben eine Lebensdauer von mindestens 10 
Jahren. Als nichtfltichtige Speicherbausteine sind bei- 
spielsweise von Dallas Semiconductor beim Typ 
DS1230Y/AB ein Speicherbereich von 256 K oder ein 
Speicherbereich von 1024 K fiir ein NV-SRAM beim 
Typ DS1245Y/AB verfugbar. 

Ebenfalls kann der Uhren/Datums-Baustein 8 nach 
dem gleichen Verfahren geschutzt werden. Dieser vor- 
genannte Baustein ist ein nichtfluchtiger Zeitgeber- 
RAM und enthalt ebenfalls eine Lithiumbatterie fiir 
mindestens 10 Jahre. Der Baustein DS 1642 von Dallas 
Semiconductor weist einen 2K x 8 NV-SRAM auf. 

Zusatzlich sind auch Speichermittel von anderer Spei- 
chertechnologie entsprechend ihrer Lebensdauer ein- 
setzbar. Die Sicherheitsschaltung speichert in diese 
nichtfltichtigen Speicher beispielsweise nur Daten zum 
Zeitpunkt des Einschaltens bzw. Wiederinbetriebnahme 
der Frankiermaschine nach einem Stand by-Betrieb, al- 
so zu Zeitpunkten, wo kein Abrechnungserfordernis 



vorliegt und keine Frankierung erfolgt Normale 
E 2 PROM-Speicher, insbesondere vom Typ 28256 beno- 
tigen keine interne Batterie und lassen mindestens 
10 000 bis 100 000 Schreib-/Lese-Zyklen zu. Die fran- 
5 kiermaschineninterne Sicherheitsschaltung fur Postre- 
gisterdaten und andere sicherheitsrelevante Daten steu- 
ert entsprechend die vorgenannten nichtfluchtigen 
Speicherbausteine so an, daB die Lebensdauer erhdht 
bzw. ausreichend ist. 
to Wenn in den nichtfluchtigen Speichern 5a, 5b neben 
einem Codewort der Dateninhalt der Postregister als 
Checksumme verschlusselt gespeichert wird, kann die 
Manipulation der Postregister wirksam von Anfang an 
verhindert werden. Beispielsweise wird ein OTP- Pro- 
is zessor (ONE TIME PROGRAMMABLE) eingesetzt, 
der im internen ROM einen gespeicherten Algorithmus 
fiir ein solches Prufsummenverfahren aufweist Gesetz- 
te Flags verhindern ein Auslesen der sicherheitsrelevan- 
ten Daten aus dem Prozessor. Ein bekanntes Prilfsum- 
20 menverfahren beruht auf einem MAC (MESSAGE AU- 
THENTICATION CODE) der an die zu sichernden 
Daten angehangt wird. Eine solche MAC-Absicherung 
wird vorteilhaft uber die Postregisterdaten gelegt Im 
Regelfall genugt jedoch ein Codewort, welches in Zeit- 
25 abstanden geandert wird, um die Sicherheit zu garantie- 
ren. 

Als Prozessor kann beispielsweise ein 8051 -Prozessor 
mit einem 16 kByte On-Chip-EPROM als internen Pro- 
grammspeicher eingesetzt werden. Der interne OTP- 

30 RAM hat einen Speicherbereich von 256 Byte. 

ErfindungsgemaB ist nun vorgesehen, daB die die 
Postregisterdaten enthaltenen nichtfluchtigen Speicher, 
insbesondere batteriegestutzte CMOS- RAM's (Bat- 
NV-CMOS-RAM's) ein Codewort enthalten, welches 

35 dem letzten Betriebszustand der Frankiermaschine vor 
dem Ausschalten bzw. Spannungsausfall oder vor einer 
gewissen Stillstandszeit (Stand by) bzw. vor Programm- 
unterbrechung entsprechend gewahlt wurde und daB 
mindestens zum Zeitpunkt des Einschaltens der Fran- 

40 kiermaschine das alte Codewort durch ein vorbestimm- 
tes neues Codewort ersetzt wird. 

ErfindungsgemaB wird also das Codewort zu vorbe- 
stimmten Ereignissen durch die betriebsbereite Fran- 
kiermaschine automatisch in alien nichtfluchtigen Spei- 

45 chern, welche sicherheitsrelevante Daten handeln, gean- 
dert. Eine derartige MaBnahme verhindert, daB ein ge- 
klonter Speicherinhalt eines nichtflOchtigen Speichers 
(Bat-NV-CMOS-RAM's) ofter als einmal verwendet 
werden kann, weil, das Codewort im nichtfluchtigen in- 

50 ternen Prozessorspeicher und im Postregister (Bat-NV- 
CMOS-RAM's) geandert wird, sobald ein vorbestimm- 
ter Betriebszustand der Frankiermaschine nach dem 
Einschalten der Maschine bzw. nach Spannungswieder- 
kehr nach einem Ausfall, nach Verlassen des Kommuni- 

55 kationsmodus bzw. dem Nachladen der Frankierma- 
schine mit einem Guthaben oder nach einer gewissen 
Stillstandszeit (Stand by) erreicht ist oder nach einer 
anderen Programmunterbrechung. 
Dabei wird durch o.g. MaBnahme ein Dupiizieren 

eo bzw. Klonen eines Bat-NV-CMOS-RAM's oder ande- 
ren N VRAM's nicht verhindert Auch ein Duplikat des 
Speicherinhalts, welches gegen den Speicherinhalt des 
Orginals ausgetauscht wird, kann weiterverwendet wer- 
den. In diesem Fall wird das Codewort des Orginals 

65 spater ungultig, d. h. ein Rucktausch der Speicherinhalte 
wurde vom Prozessor aufgrund des inzwischen eben- 
falls geanderten Codewortes im nichtfluchtigen inter- 
nen Prozessorspeicher bemerkt werden. 



11 



DE 195 34 529 Al 



12 



Die Veranderung der Codeworte bei gleichgebliebe- 
nen Dateninhalt des Speichers kann ohne Kenntnis des 
Schlussels und der Parameterdaten vom Manipulator 
auch nicht vorgenommen werden, wenn der Algorith- 
rnus zur Bildung des neuen Codewortes bekannt ware. 
Deshalb kann ein bekanntes Verschlusselungsverfahren, 
wie beispielsweise DES, eingesetzt werden. 

Das Verfahren zur Erh6hung der Manipulationssi- 
cherheit von kritischen Registerdaten umfafit weitere 
Sicherungsschritte, die in der Fig. 7 dargestellt sind. 

Im Schritt 106 werden nacheinander die in den zu 
schutzenden nichtfliichtigen Speichern gespeicherten 
Codewdrter gelesen und dann zum Prozessor iibertra- 
gen. Der Prozessor ffihrt einen Sicherungsschritt 107 
zur Oberprufung des bisher giiltigen Codewortes und 
einen Schritt 108 zur entsprechenden Veranderung des 
Codewortes aus, wenn die Oberprufung die Oberein- 
stimmung bzw. Fehlerfreiheit ergeben hat Anderenfalls 
wird vom Schritt 107 auf den Schritt 109 verzweigt, um 
einen eine den Kill-Mode kennzeichnende Zahl bzw. 
mindestens aber ein MAC-gesichertes Kill- Mode-Flag 
im st&ndig eingebauten nichtfliichtigen externen Sicher- 
heits-Speicher zu setzen. 

In den Fig. 8a bis c werden Zeigerstellungen nach 
dem erfindungsgemaBen Verfahren dargestellt Die Fig. 
8a zeigt eine Anfangszustandsvoreinstellung. Eine sol- 
che wird im Schritt 107 (Fig. 7) benotigt, um das richtige 
alte Codewort aus der gespeicherten Liste zu ermitteln. 
Der Zeiger steht beim ersten Initialisieren der Maschine 
im Herstellerwerk auf einer Zahl 1. Alternativ kann 
auch die Seriennummer der Frankiermaschine eine An- 
fangszahl bilden. Die Zeigerstellung (Zahl 1 bzw. An- 
fangszahl) wird gespeichert Dann wird ein entsprechen- 
der erster Code, der in der Liste an einer ersten Stelle 
steht im zu schutzenden NVM 5a bzw. 5b gespeichert. 
Die Frankiermaschine verlaBt das Herstellerwerk auf 
eine Zahl 1 bzw. Anfangszahl gestellt Beim Handler 
bzw. beim Kunden wird nun die Frankiermaschine ein- 
geschaltet bzw. wiedereingeschaltet (Fig. 8b). Der erste 
Code wird entsprechend der Zeigerstellung aus der Li- 
ste gelesen und mit dem im zu schtitzenden NVM 5a 
bzw. 5b gespeichert vorliegenden ersten Code vergli- 
chen. Diese erste Phase entspricht dem Schritt 107 der 
Fig. 7, in welcher festgestellt wird ob ein Speicher zwi- 
schenzeitlich ohne abzurechnen herausgenommen und 
durch einen anderen ersetzt worden war und nun erneut 
mit alten Datenbestand eingesetzt wurde. Sind die Code 
gleich, wird entsprechend der Fig. 8c die Zeigerstellung 
auf ein zweites Codewort in der Liste weitergeschaltet, 
was dem Schritt 108 in der Fig. 7 entnehmbar ist. Die 
Zeigerstellung wird in vorbestimmter Weise verandert 
Im einfachsten Fall wird die Zeigerstellung inkremen- 
tiert oder dekrementiert 

Der erste Code im zu schutzenden NVM 5a bzw. 5b 
wird nun durch den zweiten Code ausgetauscht, d. h. 
iiberschrieben. Wird nun nach dem Ausschalten die 
Frankiermaschine eingeschaltet bzw. wiedereingeschal- 
tet wird eine Oberpriifung auf der Basis des aktuellen 
Code analog zu der Fig. 8b und Fig. 7, Schritt 107 ge- 
zeigten Weise vorgenommen. 

Im bevorzugten AusfQhrungsbeispiel wird fiir zwei 
nichtfluchtige Speicher NVM 6d und NVM 5a im Schritt 
107 zur Oberpriifung des bisher giiltigen Codewortes 
V(-l), U(-l) ein fiir jeden physikalischen Speicherbau- 
stein vorgesehenes separates Codewort W(-l), T(-1) 
verwendet 

Fur zwei nichtfluchtige Speicher NVM 20 und NVM 
5a wird nach Oberpriifung des alten Codewortes im 



Schritt 107 und vor der entsprechenden Veranderung 
von Codew6tern V und U zunachst im Schritt 108 ein 
neues Codewort W' und danach ein Codewort T gebil- 
det, nach den Gleichungen: 

5 

W':«F{Pl}und (t) 
T':=F{P2}, (2) 

wobei PI und P2 gelistete Codeworter sind 

io In einer Variante werden mit den gelisteten Code- 
wortern und mit internen Daten nach einem internen 
Programm ein neues Codewort mittels einer solchen 
mathematischen Funktion F erzeugt, welche das exter- 
ne Nachbilden von Codewortern wesentlich erschwert 

15 so daB eine Manipulation in Falschungsabsicht prak- 
tisch unmoglich gemacht wird. 

Im einfachsten Fall wird im internen NVM 20 ein 
Zahlwert inkrementiert, bevor ein neues Codewort (W' ( 
T, U\ V) gebildet wird. Als mathematische Funktion F 

20 kann beispielsweise eine kryptographische Funktion 
verwendet werden, welche im internen OTP-ROM als 
Algorithmus bzw. Programm gespeichert vorliegt Zum 
Beispiel kann der DES-Algorithmus (Data- Encryption- 
Standard) oder eine Zufallsfunktion eingesetzt werden, 

25 beispeilsweise um den neuen Zeiger entsprechend F zu 
ermitteln. 

Das vorgenannte Bilden von Codewortern umfafit 
das Berechnen und/oder das Auswahlen aus einer Liste 
von Codewortern, welche im internen OTP-ROM ge- 

30 speichert vorliegt Im Idealfall soil jedes Codewort nur 
ein einziges mal zur Absicherung der externen nicht- 
fluchtigen Schreib/Lese-Speicher verwendet werden. 
Das erfordert aber eine Vielzahl von Codewortern, wel- 
che im internen OTP- ROM gespeichert werden. 

35 Lediglich die Zeigerstellung oder Zahl die auf die 
Stellung des jeweiligen Codewortes in der in OTP- ROM 
gespeicherten Liste hinweist muB extern vom OTP- Pro- 
zessor und extern von den zu schutzenden nichtflQchti- 
gen Schreib/Lese-Speichern NVM 5a und 5b besonders 

40 gesichert gespeichert werden. Dieses Sichern des zwei- 
ten Sicherheitsmittels 20 gegen Enrnahme aus dem Pro- 
zessorsystem kann durch ein Aufkleben oder ein gesi- 
chertes Kapseln des vorgenannten Sicherheits-Spei- 
chers zusammen mit dem Prozessor gewahrleistet wer- 

45 den. 

Bei den erfindungsgemaBen Varianten mit Speiche- 
rung in der Datenzentraie oder Chipkarte kann auf ein 
Aufkleben oder ein gesichertes Kapseln mindestens ei- 
nes der externen nichtfliichtigen Schreib/Lese-Speicher 

50 verzichtet werden, 

Diesen Varianten liegt die Voraussetzung zugrunde, 
daB der Speicher der Datenzentraie bzw. der Chipkarte 
nicht manipuliert oder geklont werden kann. Ein Mani- 
pulator darf das neu zu bildende Codewort vor dem 

55 Einschalten nicht abfragen konnen, um damit seine ge- 
klonten Speicher auszurfisten. Die Zeigerstellung bzw. 
Zahl kann mittels DES verschlusselt werden, wenn diese 
zur Datenzentraie iibermittelt bzw. zur Chipkarte trans- 
feriert wird. Alternativ wird das Codewort iibermittelt, 

60 oder nur die Anweisung zu seiner Wiederhersteilung 
oder wesentliche Teile der Anweisung. Die Obermitt- 
lung erfolgt wieder verschliisselt bzw. MAC-gesichert 
Ein solches Verfahren hat den Vorteil, daB man ohne 
o.g. speziellen Prozessor auskommt und daB dennoch 

65 alle Postregister-NVRAMs weiterhin gesockelt und so- 
mit leicht austauschbar montiert sind. 

Alternativ ist es auch moglich, daB ein in der Liste 
gespeichertes Codewort verschlusselt ausgelesen wer- 
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den kann, wenn ein spezieller Prozessor vorliegt Die 
Codeworter aus dem zu schiitzenden Speicher und das 
Codewort aus der vorgenannten Liste, auf welches der 
Zeiger weist, werden verschliisselt zur Datenzentrale 
ubermittelt bzw. zur Chipkarte iibertragen, wobei letz- 
tere den Vergleich zwecks SicherheitsQberprtifung vor- 
nehmen. 

In einer weiteren Variante wird von der Frankierma- 
schine das Codewort zum Speicher der Datenzentrale 
Ubertragen. Bei jedem Einschalten der Frankiermaschi- 
ne wird eine Verbindung zur Datenzentrale hergestellt 
Die Fehlerfreiheit wird durch Vergleich des extern in 
der Datenzentrale gespeicherten Codewortes mit dem 
in den Postregister-NVRAM gespeicherten Codewort 
festgestellt, urn dann ein neues Codewort zu bilden und 
im NVRAM der Datenzentrale und im Postregister- 
NVRAM abzuspeichern. Der Vergleich kann in der Da- 
tenzentrale oder in der FM durchgefiihrt werden. Eine 
Alternative besteht im Abspeichern des Codewortes in 
einem speziellen Obertragungsmittel (z. B. Chipkarte). 
Eine Telefonverbindung zur Datenzentrale ware dann 
keine Voraussetzung zur Inbetriebnahme der Frankier- 
maschine, wenn zu Beginn die Chipkarte gesteckt wur- ; 
de. Es ist ein entsprechender Kommunikations-Modus 
300 nach dem Einschalten wahrend der Laufzeit der 
Frankiermaschine vorgesehen. 

Das erfindungsgemaBe Verfahren ist in einem — in 
der Fig. 3 dargestellten — Gesamtablaufplan der Fran- 
kiermaschine eingebunden. Nach dem Start 100 erfol- 
gen in einem die Startroutine und Initialisierung umfas- 
senden Schritt 101 MaBnahmen zur Sicherheitsuberpru- 
fung und zur Wiederherstellung eines definierten An- 
fangszustandes. . . 

Die weiteren Schritte 102 bis 105 erfolgen gegebe- 
nenfalls zur Wiederherstellung der Betriebsbereitschaft 
beispielsweise nach einer Reparatur der Frankierma- 
schine und sind in der Fig. 7 naher dargestellt. 

In den Schritten 106 bis 109 werden die gelesenen 
alten Codew6rter iiberprtift und gegen neue Codewor- 
ter ausgetauscht AnschlieBend wird das neue Codewort 
auch in die NV-RAMs NVM 5a und NVM 5b ubertra- 
gen und bildet dort ein entsprechendes Codewort (V, 
U'). Der Schritt 108 beinhaltet auBerdem die Oberpru- 
fung des ordnungsgemaBen Einspeicherns der Code- 
worter (U', V bzw. W, T'). Wird bei der Oberpriifung 
des bisher gtiltigen Codewortes eine nicht plausible Ab- 
weichung festgestellt, wird zu einem Schritt 109 ver- 
zweigt, der MaBnahmen umfaBt, die letztlich weitere 
Frankierungen fit der Frankiermaschine verhindern. 
Beispielsweise kann ein drittes von einer Datenzentrale 
vorgegebenes Codewort Y geloscht werden, dessen 
Fehlen die Manipulation belegt Nachfolgend wird auf 
die Systemroutine (Punkt s) verzweigt 

Der in der Fig. 3 dargestellte Gesamtablaufplan fur 
die Frankiermaschine weist Schritte 201 bis 206 und 207 
bis 208 fur eine Oberwachung weiterer Kriterien auf. 
Bei einer Verletzung beispielsweise eines im Schritt 207 
uberpruften Sicherheitskriteriums tritt die Frankierma- 
schine in einen entsprechenden Kill-Modus ein (Schritt 
208), Die Frankiermaschine tritt aufgrund eines im 
Schritt 202 uberpruften Sicherheitskriteriums in einen 
Sleeping-(Warn)-Modus (203—206) ein, wenn nach Ver- 
brauch einer vorbestimmten Stuckzahl noch keine Ver- 
bindung zur Datenzentrale aufgenommen wurde. 

Die Frankiermaschine und die Datenzentrale verab- 
reden jeweils eine vorbestimmte Stuckzahl S, d. h. die 
Menge, die bis zur nachsten Verbindungsaufnahme 
frankiert werden kann. Falls eine Kommunikation nicht 



zustande kommt (StQckzahlkontrolle), verlangsamt die 
Frankiermaschine ihre Arbeitsweise (Sleeping Modus- 
Variante 1), damit bis zu einer nachsten Stuckzahlgren- 
ze ohne Anzeige einer Warnung weiter gearbeitet wer- 
5 den kann. Jedoch ist es moglich in immer kiirzeren Ab- 
standen, d. h. nach einer vorbestimmten Anzahl an Fran- 
kierungen, eine erneute Warnung auszugeben, welche 
so immer dringlicher auf das Erfordernis einer Kommu- 
nikation mit der Datenzentrale aufmerksam macht 
io (Sleeping Modus-Variante 2). SchlieBlich ist es moglich 
(Sleeping Modus-Variante 3), eine standige Warnung 
fur ein bevorstehendes Schlafenlegen der Frankierf unk- 
tion im Schritt 203 auszugeben, wenn dieser aufgrund 
des erfiillten Abfragekriteriums in Schritt 202 standig 
15 durchiaufen werden muB, bevor Schritt 205 erreicht 
wird. Es ist weiterhin vorgesehen, daB der Schritt 203 
einen Subschritt zur Fehlerstatistik entsprechend dem 
Statistik- und Fehlerauswertungsmodus 213 umfaBt. 
Diese Variante kommt ohne den vorgenannten Schritt 
20 204 aus. Das Frankieren wird durch den Sleeping Modus 
nicht beeintrachtigt Solange die Oberpriifung im 
Schritt 205 ergibt, daB die Stiickzahl S noch groBer Null 
ist, wird der Schritt 207. erreicht. Lediglich die Warnung . 
erscheint immer of ter in der Anzeige. Anderenfalls wird 
25 auf den Schritt 206 verzweigt, wobei beispielsweise ein 
FLAG gesetzt wird, welches spater im Schritt 301 abge- 
fragt und als Kommunikationsersuchen gewertet wird. 
Im Schritt 206 kann ebenfalls eine zusatzliche Anzeige 
erfolgen, daB nun automatisch die Kommunikation er- 
30 folgt und solange die Frankierfunktion runt, bis die 
Kommunikation erfolgreich abgeschlossen ist. Natiir- 
lich kann jederzeit ; der Frankiermaschinenbenutzer / 
schon vorher den Kommunikationsmodus 300 aufrufen. 
, In einem dem Kommunikationsmodus 300 vorausge- 
35 henden Schritt 207 werden weitere fur die Manipult 
tionssicherheit relevante Kriterien Gberpriift Bei eine; 
festgestellteh Manipulation der Maschine, die in Fal- 
v schungsabsicht vorgeriommeri wurde, wird zum Schritt \ 
208 verzeigt, um ein Frankieren mit der manipulierten 
40 Maschine zu verhindern. Die Maschine wurde in einem 
solchen Fall in den Kill-Mode eintreten. Befindet sich 
die Frankiermaschine nur im Sleeping- Mode wird ein 
Frankieren nicht verhindert. 
Nach der Oberpriifung der Kriterien fur den Kill-Mo- 
45 dus (Schritte 207 bis 208) und ftir den Sleeping-Modus 
(Schritte 202 bis 206) wird ein in der Fig. 3 gezeigter 
: Punkt t erreicht Im Schritt 209 konnen Eingaben geta- 
tigt werden, bevor der Punkt e erreicht wird. 
Mit dem Eintritt in den Kommunikationsmodus 300 
so besteht fur den Nutzer die M6glichkeit eine Kommuni- 
kation mit der Datenzentrale herbeizufiihren bzw. es 
wird gegebenenfails eine Kommunikation mit, der Da- 
tenzentrale automatisch — gemaB dem in der Fig. 3 
gezeigten Gesamtablaufplan — herbeigefuhrt. 
55 Falls die Kommunikation erfolgreich war, wird im 
Schritt 21 1 abgefragt, ob Daten ubermittelt wurden. An- 
schlieBend wird der Schritt 213 erreicht Im Schritt 213 
werden die aktuellen Daten ermittelt bzw. geladen, wel- 
che im Schritt 201 aufgerufen und anschlieBend wieder 
60 beim Vergleich im Schritt 202 benotigt werden. 

Das ubermittelte Entscheidungskriterium ist vorzugs- 
weise die neue Stuckzahl S\ 

Der Auswertemodus im Schritt 213 umfaBt erfin- 
dungsgemaB auch die Bildung neuer Codewbrter U', V 
65 fur die zu schiitzenden nichtfluchtigen Speicher im Er- 
gebnis eines Nachladevorganges, der in Kommunika- 
tionsverbindung mit einer Datenzentrale vorgenommen 
wurde. Hierbei laufen die in der Fig. 7 fur Codewort Y 
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beispielhaft gezeigten Schritte 106 bis 109 in analoger 
Weise auch fOr die Codewdrter U', V ab. 

Wurde zuvor bei der Datenzentrale eine Eingriffsbe- 
fugnis fiir die Frankiermaschine angefordert, wird ein 
von der Datenzentrale vorgegebenes neues drittes Co- 
dewort Y' geladen, welches das alte dritte Codewort Y 
ersetzen kann. Fur Reparaturzwecke ist ein Offneh der 
Frankiermaschine und ein Austausch defekter Bauele- 
mente ggf. unvermeidlich. Deshalb sind vorausgehende 
MaBnahmen zur Erlangung einer Eingriffsbefugnis er- 
forderlich, welche den Betrieb der Frankiermaschine 
nach deren Instandsetzung erlauben. Ein unbefugtes 
Offnen der Frankiermaschine wird dabei ausgeschlos- 
sen. Wenn die Frankiermaschine nach dem Eingriff wie- 
der in Betrieb genommen wird, kann aufgrund der Ein- 
griffsbefugnis fiir die Frankiermaschine jenes von einer 
Datenzentrale vorgegebenes neues dritte Codewort Y' 
das alte dritte Codewort Y ersetzen, wie dies beispiels- 
weise in der Anmeldung DE43 44 476A1 vorgeschla- 
gen wurde. 

Sollte also das von einer Datenzentrale vorgegebene 
alte dritte Codewort y geioscht werden, weil die Spei- 
cher vollstandig ausgetauscht wurden und deren veran- 
derbares Codewort (V, U) nicht vorhanden ist, bzw. 
nicht mit dem intern gespeicherten ubereinstimmt, wur- 25 
de die Frankiermaschine weiterbetrieben werden kdn- 
nen. 

Der Weiterbetrieb der Frankiermaschine ist mdglich, 
weil ein neues drittes Codewort Y' verwendet wird, wo- 
bei — wie in der Fig. 7 dargestelit ist — auf den Schritt 30 
108 verzweigt wird, um ein neues verSnderbares Code- 
wort (T', W) zu bilden und als Codewort (V, U') in die 
NV-RAMs zu laden. 

In einer — gegenuber dem in der Fig. 7 gezeigten 
FluBplan — modifizierten FluBplanvariante kann an- 35 
statt mit einem zu dem veranderbaren Codewort (W, T) 
identischen Codewort (V, U) auch mit dem komplemen- 
taren Schatten (V", U") in mindestens einem der Spei- 
cherbereiche bzw. N VRAM's gearbeitet werden. Ent- 
sprechend verflndern sich auch die Form der Oberprii- 40 
fung der bisher giiltigen Codewdrter und deren Ersatz 
durch neue Codewdrter in einem der Speicherbereiche 
des nichtf lttchtigen Speichers NVM 5a, 5b gemaB der — 
in den Fig. 3 und 5 gezeigten — Schritte 102 bis 105. 
Nach einem Verifizieren der gegebenenfalls in einem 45 
Speicherbereich E des NVM 5a, 5b gespeichert voriie- 
genden neuen Codewdrter V, U' und/oder Y' werden 
die alten Codewdrter geioscht und die neuen Codewdr- 
ter entsprechend abrufbar adressiert. Das kann vorteil- 
haft analog zum Ablauf — wie er in der Fig. 7 in 50 
DE 43 44 476 Al dargestelit ist — erfolgen, indem die 
neuen Codewdrter V, U' und/oder Y' auf die Adresse 
der alten Codewdrter V, U und/oder Y gesetzt werden. 

Nach einem vorausgehenden Ereignis bzw. einer Pro- 
grammunterbrechung (Stand by) wird ein Punkt p er- 55 
reicht und gemaB den — in der Fig. 4 dargestellten — 
Details des Ablauf planes wird iiber Schritte 102 bis 105 
ein erster Sicherungsschritt 106 des in der Fig. 7 gezeig- 
ten FluBplanes des erfindungsgem&Ben Verfahrens er- 
reicht 

Nur bei einer Inbetriebnahme oder nach Spannungs- 
ausfall wird nach einem Initialisieren in einem dem vor- 
genannten Punkt p vorgelagerten Schritt 1050 zuerst 
das aktuelle Programmodul PM entsprechend der Mo- 
dulkennung aufgerufen, dessen Abschnitte anschlieBend 
weiter bearbeitet werden sollen. Der in der Fig. 3 ge- 
zeigte Schritt 101 umfaBt mehrere Subschritte, welche 
nachfolgend anhand der Fig. 4 naher eriautert werden. 
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Zunachst laufen im Schritt 1010 iibliche Hardware- 
und Anzeige-Initialisierungsroutinen ab, bevor ein 
Schritt 1011 zum Timer- und Interrupt-Start erreicht 
wird. Das interne Programm beginnt dann mit Startsi- 
5 cherheitsQberprufungen. In vorteilhafter Weise kann 
hier im Schritt 1020 bereits gepriift werden, ob ein Co- 
dewort oder Speicherinhalt giiltig ist AnschlieBend 
wird bei Giiltigkeit ein Schritt 1040 zur automatischen 
Eingabe gespeicherter Daten mit Druckdatenaufberei- 
10 tung und Einbettung der Bilddaten erreicht 

Nach dem Aufruf des Merkers oder Zeigers im 
Schritt 1051 wird in einem weiteren Schritt 1052 gete- 
stet, ob der Programmodul weiterabgearbeitet werden 
muB. Ist das nicht der Fall wird im Schritt 1054 der 
15 nSchste Programmodul PM(+1) aufgerufen. Anderen- 
falls wird in einem Schritt 1053 iiberpriift, ob Pro- 
grammabschnitte eines vorhergehenden Programmo- 
duls PM(- 1) zuende abgearbeitet werden mussen und 
zu einem Schritt 1056 verzweigt oder zu einem Schritt 
20 1055 verzweigt wenn ein Programmabschnitt des aktu- 
* ellen Programmoduls PM weiter abgearbeitet werden 
muB. Nach Feststellung des aktuellen Programmoduls 
gemaB den Schritten 1054, 1055 oder 1056 wird auf den 
Punkt p verzweigt 

Fur eine Abarbeitung kritischer und unkritischer Pro- 
grammabschnitte innerhalb dieses Programmoduls wer- 
den Merker, beispielsweise eine Phasenkennung ge- 
setzt wie das aus DE42 17 830A1 bekannt ist, oder 
Zeiger gestellt, welche nach SpannungsausfalJ und Wie- 
dereinschalten eine Rekonstruktion definierter Zustan- 
de fur die weitere Programmabarbeitung ermdglicht. 

GemaB der Fig. 3 wird nach Ausfuhrung der Schritte ' 
102 bis 105 und 106 bis 109 der Punkt s und damit die 
Systemroutine 200 erreicht AuBerdem wird der Punkt s 
nach Ausfuhrung der Schritte fiir einen Testmodus 216, 
fiir einen Anzeigemodus 215 und fur einen Frankiermo- 
dus 400 erreicht 

. Die Erlauterung der Ablaufe nach dem — in der 
Fig. 5 gezeigten — Frankiermodus 400 erfolgt in Ver- 
bindung mit dem — in der Fig. 1 dargestellten — Block - 
schaltbild und in dem — in der Fig. 3 dargestellten — 
Gesamtablaufplan der elektronischen Frankiermaschi- 
ne. 

Die Erfindung geht davon aus, daB nach dem Ein- 
schalten automatisch der Postwert im Wertabdruck ent- 
sprechend der letzten Eingabe vor dem Ausschalten der 
Frankiermaschine und das Datum im Tagesstempel ent- 
sprechend dem aktuellem Datum vorgegeben werden, 
daB fur den Abdruck die variablen Daten in die festen 
Daten fiir den Rahmen und fur alle unverSndert bleiben- 
den zugehdrigen Daten elektronisch eingebettet wer- 
den (Fig. 4, Schritt 1040). 

AuBerdem l&uft die Zeit im batteriegestiitzten Uhren/ 
Datums-Baustein 8 standig auch bei ausgeschalteter 
Frankiermaschine weiter und wird standig aktuell min- 
destens als Datum gespeichert und im Schritt 1040 der 
Fig. 4 in der Initialisierungsroutine 101 eingebettet 

Wird also nach dem Einschalten der Frankiermaschi- 
ne, nach der durchgefuhrten Systemroutine 200 und 
60 wahrend des Betriebsmodus der Schritt 401 im Fran- 
kiermodus 400 erreicht kann auch ohne Eingabe auf 
bereits gespeicherte Daten zuruckgegriffen werden. 
Diese Einstellung betrifft insbesondere die letzte Ein- 
stellung der Frankiermaschine hinsichtlich des Porto- 
65 wertes, welche im Schritt 209 angezeigt wird, bevor ggf. 
. eine erneute Eingabe, Anzeige und Druckdatenaufbe- 
reitung erfolgt Hierbei werden die aktuellen variablen 
Pixelbilddaten (Datum und Porto-wert) in die festen 
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Rahmenpixelbilddaten eingebettet AnschlieBend er- 
folgt im Schritt 401 eine Abfrage der Eingabemittel auf 
eventuelle weitere Eingaben. Liegen weitere Eingaben 
vor wird ein Schleifenz&hler im Schritt 403 zurQckge- 
setzt und zum Punkt t (Fig. 3) zuruckverzweigt. 

Die Eingabedaten, die mit einer Tastatur 2 oder aber 
Qber eine an die Ein/Ausgabeeinrichtung 4 angeschlos- 
sene, den Portowert errechnende, elektronische Waage 
22 eingegeben werden, werden automatisch im Spei- 
cherbereich D des nichtfliichtigen Arbeitsspeichers 
NVM 5 gespeichert AuBerdem sind auch Datensatze 
der Subspeicherbereiche, zum Beispiel Bj, C usw n nicht- 
fliichtig gespeichert Damit ist gesichert, daB die letzten 
Eingabegr6Ben auch beim Ausschalten der Frankierma- 
schine erhalten bleiben, so daB nach dem Einschalten 
automatisch der Portowert im Wertabdruck entspre- 
chend der letzten Eingabe vor dem Ausschalten der 
Frankiermaschine und das Datum im Tagesstempel ent- 
sprechend dem aktuellem Datum vorgegeben wird. Im 
Schritt 209 wird die eventuelle Eingabe neuer Werte 
abgefragt Wenn beispielsweise kein neuer Portowert 
eingegeben wurde, dann wird auf den im Speicherbe- 
reich gespeichert vorliegenden bisherigen Portowert 
zuruckgegriffen und der Punkt e (Fig. 3) erreicht, urn 
weitere Eingaben abzufragen, bevor der Frankiermodus 

400 (Fig. 5) erreicht wird. 

Bei einer im Schritt 401 festgestellten erneuten Einga- 
beanforderung wird wieder auf den Schritt 209 zuruck- 
verzweigt. Anderenfalls wird auf den Schritt 402 ver- 
zweigt, urn den Schleifenzahler zu inkrementieren. Ober 
den Schritt 404, in welchen die durchlaufenen Schleifen- 
anzahl uberpruft wird, wird der Schritt 405 erreicht, um 
die Druckausgabeanforderung abzuwarten. Durch ei- 
nen Briefsensor wird ein Brief detektiert, welcher fran- 
kiert werden soil. Dadurch wird ein Signal fur die 
Druckausgabeanforderung generiert 

Im Schritt 405 wird die Druckausgabeanforderung 
abgewartet, um dann liber die Schritte 407, 409 und 410 
zur Abrechnungs- und Druckroutine im Schritt 406 zu 
verzweigen. Liegt keine Druckausgabeanforderung 
(Schritt 405) vor, wird — nach dem in der Fig. 3 gezeig- 
ten Gesamtablaufplan — zum Schritt 209 (Punkt t) und 
gegebenenfalls, wenn kein Kommunikationsersuchen 
vorliegt uber die Schritte 211, 212 und 214 zum Schritt 

401 des Frankiermodus 400 zuruckverzweigt 

Wenn nach der — in der Fig. 5 dargestellten — Weise 
nunmehr zum Punkt t zuruckverzweigt und nach Schritt 
209 der Schritt 301 erreicht wird, kann jederzeit durch 
manuelle Eingabe ein Kommunikationsersuchen ge- 
stellt oder eine andere Eingabe gem&B den Schritten 
Testanforderung 212 und Registercheck 214 getatigt 
werden. Wieder wird Schritt 401 erreicht. Wenn keine 
Eingabe anforderung erkannt wird, werden weitere 
Schritte 402 und 404 — wie in der Fig. 5 gezeigt — 
durchlaufen. Ein weiteres Abfragekriterium kann in ei- 
nem Schritt 404 abgefragt werden, um im Schritt 408 ein 
Standby- Flag zu setzen, wenn nach einer durchlaufenen 
Schleifenanzahl weder eine Eingabe getatigt wurde, 
noch keine Druck- Ausgabeanforderung vorliegt. 

Der Standby- Modus wird in einer anderen Variante 
auch erreicht, wenn ein an sich bekannter — in der 
Fig. 1 dargestellter — Briefsensor 16 in vorbestimmter 
Zeit keinen nfcchsten Brief umschlag ermittelt, welcher 
frankiert werden soil. Der — in der Fig. 4 gezeigte — 
Schritt 404 im Frankiermodus 400 umfaBt entweder eine 
Abfrage nach einem Zeitablauf oder nach der Anzahl an 
DurchlSufen durch die Programmschleife, welche letzt- 
endlich wieder auf die Eingaberoutine gemaB Schritt 



401 fiihrt Wird das Abfragekriterium erfQllt, wird im 
Schritt 408 ein Standby-Flag gesetzt und direkt auf den 
Punkt p oder alternativ dazu auf den Punkt s zur Sy- 
stemroutine 200 zuruckverzweigt, ohne daB die Abrech- 

5 nungs- und Druckroutine im Schritt 406 durchlaufen 
wird. Bei einer Verzweigung auf den Punkt p kann ein 
zusatzlicher Wechsel der Codeworter wahrend des 
Standby-Modus erzielt werdea Bei einer — in der Fig. 5 
nicht dargestellte — Variante mit einer Verzweigung 

io auf den Punkt s kann dagegen nur ein Wechsel der 
Codeworter nur nach dem Einschalten erzielt werden. 

Das Standby-Flag wird wahrend der Systemroutine 
200 im Schritt 211 abgefragt und gegebenenfalls nach 
der Checksummenprufung im Schritt 213 zuriickgesetzt, 

15 falls kein Manipulationsversuch erkannt wird. 

Das Abfragekriterium im Schritt 211 wird dazu um 
die Frage erweitert, ob das Standby-Flag gesetzt ist, d. h. 
ob der Standby Modus erreicht ist In diesem Fall wird 
einmal auf den Schritt 213 verzweigt Eine bevorzugte 

20 Variante mit ManipulationsQberwachung wahrend des 
Standby-Modus besteht darin, ein Codewort Y in der 
bereits beschriebenen Weise zu loschen, wenn ein Mani- 
pulationsversuch im Standby- Modus auf vorgenannte 
Weise im Schritt 213 festgestellt worden ist Das Fehlen 

25 des Codewortes Y wird im Schritt 207 erkannt und dann 
auf den Schritt 208 verzweigt. Der Vorteil dieses Ver- 
fahrens in Verbindung mit dem ersten Modus besteht 
darin, daB der Manipulationsversuch statistisch im 
Schritt 213 erfaBt wird. 

30 Somit kann das Standby-Flag im auf den Kommuni- 
kationsmodus 300 folgenden Schritt 211 abgefragt wer- 
den. Damit wird nicht auf den Frankiermodus 400 ver- 
zweigt, bevor nicht die Checksummenprufung die Voll- 
zahligkeit und Giiltigkeit aller oder mindestens einiger 

35 ausgewahlter sicherheitsrelevanter Programme erge- 
ben hat. 

Falls eine Druckausgabeanforderung im Schritt 405 
erkannt wird, werden weitere Abfragen in den nachfol- 
genderi Schritten 409 und 410 sowie im Schritt 406 geta- 

40 tigt Beispielsweise kann im Schritt eine Oberprufung 
der Registerwerte und zusatzlich des Codewortes y vor- 
genommen werden und im Schritt 409 wird die GOltig- 
keit und zusatzlich das Vorhandensein eines im Schritt 
208 (Fig. 3) gesetzten Kill- Mode-Flag's festgestellt, um 

45 auf den Schritt 410 zu verzweigen. Anderenfalls wird auf 
den Schritt 413 zur Statistik- und/oder Fehlerauswer- 
tung und Schritt 415 zur Anzeige des Fehlers verzweigt, 
wenn die Registerwerte nicht authentisch waren. 
Im Schritt 410 wird das Erreichen eines weiteren 

50 StOckzahlkriterium abgefragt War die zum Frankieren 
vorbestimmte Stuckzahl bei der vorhergehenden Fran- 
kierung verbraucht, d. h. Stuckzahl gleich Null, wird au- 
tomatisch zum Punkt e verzweigt, um in den Kommuni- 
kationsmodus 300 einzutreten, damit von der Datenzen- 

55 trale eine neue vorbestimmte Stuckzahl S wieder kredi- 
tiert wird. War jedoch die vorbestimmte Stuckzahl noch 
nicht verbraucht, wird vom Schritt 410 auf die Abrech- 
nungs- und Druckroutine im Schritt 406 verzweigt. Im 
Schritt 406 werden die in bekannter Weise zur Abrech- 

60 nung eingezogenen Registerdaten ggf. inhaltlich uber- 
pruft und entsprechend geandert Beispielsweise wird 
bei einem giiltigen Frankieren mit einem Wert > 0 der 
Stuckzahler R4 inkrementiert Der Registerwert Rl 
wird verringert und der Registerwert R2 entsprechend 

65 erhoht, so daB der Registerwert R3 konstant bleibt. Da- 
nach wird eine Prufsumme (beispielsweise CRC) Ober 
jeden der Registerwerte gebildet und im NVM 5a und/ 
oder NVM 5b zusammen mit den zugehorigen Register- 
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werten gespeichert Eine solche Absicherung, die Qber 
die einzelnen Registerdaten gelegt wurde, urn, eine Ma- 
nipulation Verringern von R2 (Verbrauchssumme) und 
Erhohung von Rl (Restwert) bei gleichbleibenden R3 
wahrend des laufenden Betriebes zu verhindern, wurde 5 
bereits in der Anmeidung DE 43 44 476 Al vorgeschla- 
gen. Der MAC (Message Authentification Code) ist eine 
verschlusseite Checksumme, welche an den Register- 
wert bei Abrechnung im Schritt 406 (Fig. 4) angehangt 
wird. Geeignet ist beispielsweise eine DES-Verschlus- 10 
selung. Im Frankiermodus 400 (Fig. 4) kann bei der Ab- 
rechnung zusStzlich noch der Dateninhalt iiberpruft 
werden, ob die Registerwertsumme R3 gleich der Sum- 
me aus Ascending-Register Rl (Restwert) und Descen- 
ding-Register R2 ist Aufgrund der Absicherung mit den 15 
verschlusselten Prufsummen kann aber auf eine inhaltli- 
che Oberpriifung vollig verzichtet werden, zumal eine 
solche von der Datenzentrale bei jeder Kommunikation 
„mit der Frankiermaschine durchgefuhrt wird. Sind alle 
Spalten eines Druckbildes gedruckt worden, wird wie- 20 
der zur Systemroutine 200 zuriickverzweigt. 

Die Anzahl von gedruckten Briefen, und die aktuellen 
Werte in den Postregistern werden entsprechend der 
eingegebenen Kostensteile im nichtfluchtigen Speicher 
5a der Frankiermaschine wahrend der Abrechnungs- 25 
routine 406 registriert und stehen fur eine spatere Aus- 
wertung zur Verfugung. Ein spezieller Sleeping-Mode- 
Zahler wird wahrend der unmittelbar vor dem Druck 
erfolgenden Abrechnungsroutine veranlaBt, einen Zahl- 
schritt weiterzuzahlen. Die Registerwerte konnen bei 30 
Bedarf im Anzeigemodus 215 (Fig. 3) abgefragt werden. 
Von diesem wird anschlieBend zur Systemroutine 200 
zuriickverzweigt. 

Fur die frankiermaschineninterne Sicherheitsschal- 
tung eignet sich der TMS370 CO 10 aus der Prozessor- 35 
Familie von Texas Instrument. Dieser weist ein internes 
E 2 PROM von 256 Bytes als NVM auf. 

In einer Variante enthalten der nichtfliichtige interne 
Prozessorspeicher und der zu schiitzende nichtfluchtige 
Postregisterspeicher (Bat-NV-CMOS-RAM's) nicht das 40 
identische, sondern einer von beiden das komplemen- 
tare Codewort Das prozessorinterne Codewort ist 
nicht von auBen abfragbar. 

In einer anderen Variante sind verschiedene Code- 
worter einzelnen Speichern zugeordnet, wobei die ver- 45 
schiedenen CodewSrter jedoch einen gemeinsamen 
Stamm haben, aus dem sie gebildet wurden und wobei 
der gemeinsame Stamm vom Prozessor rekonstruiert 
wird, um die Giiltigkeit der einzelnen Codeworter zu 
uberpriifen. 50 

Die Routine zum Codeworter- Vergleich bzw. zur 
Gultigkeitsprufung wird im Prozessor jeweils nach dem 
Einschalten bzw. bei Programmfortsetzung abgefragt 
Wird beim Vergleich eine Unstimmigkeit festgestellt, 
wird die Frankiermaschine fur den weiteren Betrieb 55 
blockiert 

Es ist weiterhin vorgesehen, daB die Anzahl der Bil- 
dung von neuen Codewfirtern ab einem vorbestimmten 
Zeitpunkt gezahlt und nichtfluchtig prozessorintern ge- 
speichert wird. Zum Zeitpunkt einer Kommunikation 60 
mit der Datenzentrale wird die vorgenannte Anzahl an 
in der Vergangenheit gebildeten Codewortern und das 
aktuell gUItige Codewort abgefragt Das erlaubt bei ei- 
ner unabsichtlichen Blockierung der Frankiermaschine 
aufgrund ungultiger CodewSrter dann bei Bedarf die 65 
nachtragliche Wiederherstellung des alten Zustandes 
durch entsprechende Datenfibermittlung seitens der 
Datenzentrale an die Frankiermaschine. 



Es ist vorgesehen, daB ein dem Codewort entspre- 
chender letzter Betriebszustand der Frankiermaschine 
einen Zustand im Ergebnis der Herstellung oder einer 
Nachladung der Frankiermaschine oder einen Zustand 
vor dem Ausschalten der Frankiermaschine oder einen 
Zustand vor einem Spannungsausfall oder vor einer 
Stillstandszeit (Stand by) bzw. vor Programmunterbre- 
chung einschlieBt Ebenfalls konnen bei der Oberwa- 
chung weiterer Kriterien solche letzten Betriebszustan- 
de eintreten, indem die Frankiermaschine zu einem ent- 
sprechenden Modus iibergeht Solche Schritte 202 bzw. 
207 f£ir eine Oberwachung weiterer Kriterien weist der 
in der Fig. 3 dargestellte Gesamtablaufplan fur die 
Frankiermaschine auf. Bei einer Verletzung . eines der 
Sicherheitskriterien tritt die Frankiermaschine in einen 
entsprechenden Modus ein und fiihrt zusatzlich in ent- 
sprechenden Subroutinen die — in der Fig. 7 dargestell- 
ten — erfindungsgemaBen Schritte 106 bis 109 aus. Tritt 
die Frankiermaschine beispielsweise in einen Sleeping- 
Modus ein, wenn nach Verbrauch einer vorbestimmten 
Stiickzahl noch keine Verbindung zur Datenzentrale 
aufgenommen wurde, und wird keine manuelle Auslo- 
sung einer Kommunikation durch den Nutzer vorge- 
nommen, erfolgt bei Erschopfung des Stiickzahlkredites 
eine automatische Kommunikation mit der Datenzen- 
trale und eine Durchfuhrung des Verfahrens zur Erho- 
hung der Manipulationssicherheit von kritischen Regi- 
sterdaten. 

Die Erfindung ist nicht auf die vorliegenden Ausfiih- 
rungsform beschrankt, da offensichtiich weitere andere 
Anordnungen bzw. Ausfiihrungen des Verfahrens fur 
andere informationsverarbeitende Einrichtungen ent- 
wickelt bzw. eingesetzt werden kdnnen, die vom glei- 
chen Grundgedanken der Erfindung ausgehend, von 
den anliegenden Anspriichen umfaBt werden. 

Patentanspriiche 

1. Verfahren zur Erhdhung der Manipulationssi- 
cherheit von kritischen Daten, insbesondere von 
Registerdaten in Frankiermaschinen, gekennzeich- 
net durch die Schritte: 

— Laden einer Zahl oder eines Zeigers, wel- 
cher einem Codewortes zugeordnet ist, in ei- 
nen ersten nichtflflchtigen Speicher 20, 

— Laden eines Codewortes in zweite die Post- 
registerdaten enthaltenden nichtfluchtigen 
Speicher (NVM 5a, 5b), wobei das Codewort 
dem letzten Betriebszustand der Frankierma- 
schine zugeordnet ist, d. h. das dem Ergebnis 
der Herstellung oder einer Nachladung der 
Frankiermaschine bzw. vor dem Ausschalten 
bzw. vor Spannungsausfall oder vor einer Still- 
standszeit (Stand by) bzw. vor Programmun- 
terbrechung entsprechend ausgewahlt worden 
ist, 

— GultigkeitsprOfung des Codewortes minde- 
stens zum Zeitpunkt des Einschaltens der 
Frankiermaschine und 

— Ersetzen des alten Codewortes durch ein 
vorbestimmtes neues Codewort, wenn der 
Prozessor, nach Gultigkeitsprufung mit Bezug 
auf das in seinem internen Prozessorspeicher 
(NVM 6c) aus einer Liste mit gespeicherten 
Codeworten entsprechend der Zahl bzw. der 
Zeigerstellung ausgewahlte Codewort, die 
Giiltigkeit des alten Codewortes erkennt oder 

— Blockierung der Frankiermaschine nach 
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dem Zeitpunkt des Einschaitens der Frankier- 
maschine, wenn der Prozessor nach Giiltig- 
keitspriifung mit Bezug auf das ausgewahlte in 
vorgenannter Liste gespeicherte Codewort die 
GCiltigkeit des alten Codewortes aberkennt. 5 

2. Verfahren, nach Anspruch 1, dadurch gekenn- 
zeichnet, daB ein dem Codewort entsprechender 
letzter Betriebszustand der Frankiermaschine ei- 
nen Zustand im Ergebnis der Herstellung oder ei- 
ner Nachladung der Frankiermaschine oder einen 10 
Zustand vor dem Ausschalten der Frankiermaschi- 
ne oder einen Zustand vor einem Spannungsausfall 
oder vor einer Stillstandszeit (Stand by) bzw. vpr 
Programmunterbrechung einschlieBt 

3. Verfahren, nach Anspruch 2, dadurch gekenn- 15 
zeichnet, daB die Nachladung mit einem monetaren 
Guthaben, StQckzahl S und/oder anderen Daten in 
einem Kommunikationsmodus (300) erfolgt, daB 
die Anzahl der Bildung von neuen Codewortern ab 
einem vorbestimmten Zeitpunkt gezahlt und nicht- 20 
fliichtig prozessorextern gespeichert wird und zum 
Zeitpunkt einer Kommunikation mit der Datenzen- 
trale die vorgenannte Anzahl an in der Vergangen- . 
heit gebildeten CodewSrtern und das aktuell gOlti- 

ge Codewort abgefragt wird, zum Oberwinden ei- 25 
ner unabsichtlichen Blockierung der Frankierma- 
schine aufgrund ungiiltiger Codeworter bzw. bei 
Bedarf die nachtragliche Wiederherstellung des al- 
ten Zustandes durch entsprechende Dateniiber- 
mittlung seitens der Datenzentrale an die Frankier-. 30, 

' maschine. .* . 

' 4. Verfahren, nach Anspruch 2, dadurch gekenn- 
zeichnet, daB eine Oberwachung weiterer Kriterien 
erfolgt und solche vorgenannten letzten Betriebs- 
zustande eintreten, indem die Frankiermaschine zu 35 
einem entsprechenden Modus bei einer Verletzung 
eines der Sicherheitskriterien dbergeht, daB die in . 
einen entsprechenden Modus eingetretene Fran- 
kiermaschine in zusatzlichen entsprechenden Sub- 
routinen die Schritte (106 bis 109) zur Durchfuh- 40 
rung des Verfahrens zur Erhohung der Manipula- 
tionssicherheit von kritischen Registerdaten aus- 
fuhrt. 

5. Verfahren, nach Anspruch 1, dadurch gekenn- 
zeichnet, daB fur zwei nichtfluchtige Speicher 45 
NVM 20 und NVM 5a nach Oberprufung des alten 
Codewortes im Schritt 107 und vor der entspre- 
chenden Veranderung von Codewortern V und U 
zunachst im Schritt 108 ein neues Codewort W und 
danach ein Codewort V gebildet wird, nach den 50 
Gleichungen: 

W':=F{Pl}und (1) 
T':=F{P2}, (2) 

55 

wobei PI und P2 gelistete Codeworter sind. 

6. Verfahren, nach Anspruch 5, dadurch gekenn- 
zeichnet, daB im internen NVM 20 ein Zahlwert 
inkrementiert, dekrementiert oder in vorbestimm- 
ter Weise verandert wird, bevor ein neues Code- 60 
wort (W' f T, U', V) gebildet wird 

7. Verfahren, nach Anspruch 1, dadurch gekenn- 
zeichnet, dafl die Bildung des neuen Codewort vom 
vorherigen abhangig ist 

8. Verfahren, nach Anspruch 1, dadurch gekenn- 65 
zeichnet, daB ein Laden eines neuen Codewortes in 
zu schQtzende nichtfluchtige Speicher (NVM 5a, 
5b), erfolgt, wobei das Programm fur die Berech- 
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nung der Zeigerstellung bzw. Bildung des jeweils 
neuen Codewortes im Programmspeicher (PSP 11) 
gespeichert ist 

9. Verfahren, nach Anspruch 8, dadurch gekenn- 
zeichnet, daB als Programmspeicher ein ROM bzw. 
EPROM verwendet wird 

10. Verfahren zur ErhShung der Manipulationssi- 
cherheit von kritischen Daten, dadurch gekenn- 
zeichnet, daB jedem nichtfluchtigem Speicher oder 
Speicherbereich ein separates Codewort zugeord- 
net wird, wobei mindestens eines der vorgenannten 
separaten Codeworte in einem weiteren internen 
Speicher eines Prozessorsystems, einer Chipkarte 
und/oder einer Datenzentrale nichtfluchtig gespei- 
chert worden ist und daB eine Bildung von neuen 
Codewortern ab einem vorbestimmten Zeitpunkt 
und danach eine Einspeicherung der neuen Code- 
worter in die zu schiitzenden nichtfluchtigen Spei- 
cher vorgenommen wird. 

1 1. Verfahren, nach Anspruch 10, dadurch gekenn- 
zeichnet, daB die Bildung des neuen Codewortes 
vom vorherigen abhangig ist 

12. Verfahren, nach Anspruch 10, dadurch gekenn- 
zeichnet, daB in einem Schritt (108) zur Bildung 
eines neuen veranderbaren ersten Codewortes (T, 
W) auch die Bildung des neuen zweiten Codewor- 
tes (V, LT) identisch zur Bildung des neuen ersten 
Codewortes (T, W) erfolgt, urn ein identisches 
neues zweites Codewort (V, U') in die zu schiitzen- 
den nichtfluchtigen Speicher (NVMs 5a, 5b) zu la- 
den, oder daB in einem Schritt (108) zur Bildung 
eines neuen veranderbares ersten Codewortes (T, 
W) auch die Bildung des neuen zweiten Codewor- 
tes (V", U") als komplementarer Schatten (V", U") 
zum neuen ersten Codewortes (T, W) erfolgt, urn 
ein komplementares neues zweites Codewort (V, 
U') in die zu schiitzenden nichtfluchtigen Speicher 
(NVMs 5a, 5b) zu laden. 

13. Verfahren, nach Anspruch 10, dadurch gekenn- 
zeichnet, daB in einem Schritt (108) zur Bildung 
eines neuen veranderbares ersten Codewortes (T, 
W) auch die Bildung des neuen zweiten Codewor- 
tes (V',U") als zu dem veranderbaren neuen ersten 
Codewort (W) identischen Codewort (V) und als 
komplementarer Schatten (U") zum neuen ersten 
Codewortes (V) erfolgt, um mindestens ein neues 
zweites Codewort (V' ( U") in die zu schiitzenden 
nichtfluchtigen Speicher (NVMs 5a, 5b) zu laden 
oder daB beim Schutz eines entsprechenden Spei- 
chers (NVM's) in mindestens einem der Speicher- 
bereiche auch mit dem komplementaren Schatten 
(V" oder U") gearbeitet wird. 

14. Verfahren, nach Anspruch 10, dadurch gekenn- 
zeichnet, daB eine Nachladung mit einem moneta- 
ren Guthaben, Stuckzahl S und/oder anderen Da- 
ten in einem Kommunikationsmodus (300) erfolgt, 
daB die Anzahl der Bildung von neuen Codewdr- 
tern ab einem vorbestimmten Zeitpunkt gezahlt 
und nichtfluchtig prozessorextern gespeichert wird 
und zum Zeitpunkt einer Kommunikation mit einer 
Datenzentrale die vorgenannte Anzahl an in der 
Vergangenheit gebildeten Codewortern und das 
aktuell gultige Codewort abgefragt wird, zum 
Oberwinden einer unabsichtlichen Blockierung der 
Frankiermaschine aufgrund ungQltiger Codewor- 
ter bzw. zur bedarfsweisen nachtraglichen Wieder- 
herstellung des alten Zustandes durch entsprechen- 
de Datenubermittlung seitens der Datenzentrale an 
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die Frankiermaschine. 

15. Verfahren zur Erhdhung der Manipulationssi- 
cherheit von kritischen Daten in informationsver- 
arbeitenden Einrichtungen, gekennzeichnet, durch 
dieSchritte: 5 

— Laden einer Zahl oder eines Zeigers, wel- 
cher einem Codewortes zugeordnet ist, in ei- 
nen ersten nichtfliichtigen Speicher (20), 

— Laden eines Codewortes in zweite die Post- 
registerdaten enthaltenden nichtfluchtigen io 
Speicher (NVM 5a, 5b), wobei das Codewort 
dem letzten Betriebszustand der informations- 
verarbeitenden Einrichtung zugeordnet ist, 

— Giiltigkeitspriifung des Codewortes minde- 
stens zum Zeitpunkt des Einschaltens der in- 15 
formationsverarbeitenden Einrichtung und 

— Ersetzen des alten Codewortes durch ein 
vorbestimmtes neues Codewort, wenn der 
Prozessor, nach GUltigkeitsprufung rnit Bezug 
auf das in seinem internen Prozessorspeicher 20 
(NVM 6c) aus einer Liste mit gespeicherten 
Codeworten entsprechend der Zahl bzw. der 
Zeigerstellung ausgewahlte Codewort, die 
GQltigkeit des alten Codewortes erkennt oder 

— Blockierung der informationsverarbeiten- 25 
den Einrichtung nach dem Zeitpunkt des Ein- 
schaltens, wenn der Prozessor nach Giiltig- 
keitspriifung mit Bezug auf das ausgewahlte in 
vorgenannter Liste gespeicherte Codewort die 
Gultigkeit des alten Codewortes aberkennt 30 * 

16. Anordnung zur Erhdhung der Manipulationssi- 
cherheit von kritischen Daten, insbesondere von 
Registerdaten in Frankiermaschinen mit einer 
Steuereinrichtung und Speichern, dadurch gekenn- 
zeichnet, daS die Steuereinrichtung (6) einen Mi- 35 
kroprozessor oder einen OTP- Prozessor (ONE TI- 
ME PROGRAMMABLE) aufweist, in welchem ne- 
ben einem Mikroprozessor CPU (6a) auch weitere 
Schaltungen und/oder Programme bzw. Daten im 
internen OTP-ROM (6c) bzw. im internen OTP- 40 
RAM (6b) in einem gemeinsamen Bauelementge- 
hause untergebracht sind, welche ein erstes Sicher- 
heitsmittel gegen unbefugte Manipulation bilden 
sowie daB ein extemer nichtfluchtiger Speicher 
NVM (20) ein zweites Sicherheitsmittel gegen un- 4s 
befugte Manipulation bildet 
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